Publicado el 15 de Mayo del 2017
1.264 visualizaciones desde el 15 de Mayo del 2017
961,2 KB
34 paginas
Creado hace 16a (19/06/2007)
Requerimientos de seguridad y
Requerimientos de seguridad y
calidad en el manejo de
calidad en el manejo de
n a travéés de canales
informacióón a trav
s de canales
informaci
de distribucióón de productos y
n de productos y
de distribuci
Servicios Financieros
Servicios Financieros
(Proyecto de Circular – Junio 2007)
Conferencista:
Conferencista:
Pablo A. Malagóón T.
n T.
Pablo A. Malag
Agenda
Agenda
1.1. Antecedentes
Antecedentes
Sistema de Administracióón de Riesgos
2.2. Sistema de Administraci
n de Riesgos
Operativos (SARO)
Operativos (SARO)
3.3. Requerimientos del proyecto de Norma
Requerimientos del proyecto de Norma
Consideraciones
–– Consideraciones
–– ÁÁmbito de aplicaci
Estructura del proyecto
–– Estructura del proyecto
mbito de aplicacióón n
2
1. Antecedente -- Transaccionalidad
Transaccionalidad
1. Antecedente
(millones)
(millones)
10 0
111
10 3
14 9
12 9
112
3 0 6
19 4
179
4 8 8
4 55
4 2 6
53 6
50 4
3 9 4
0
10 0
2 0 0
3 0 0
4 0 0
5 0 0
6 0 0
2 0 0 4
2 0 0 5
2 0 0 6
3
A U D I OR ES P U ES TA
P OS o
D A TÀFON OS
I N TER N ET
C A J ER OS
A U TOM ÁTI C OS
OFI C I N A S
Fuente:
SFC
Antecedente -- Quejas
Quejas
Antecedente
Reclamaciones ante la SFC
X4 = 4.308
2.007
1.077
3.015
4,093
2.006
3.161
16.651
2.005
1.804
16.355
19,812
18,159
-
2.000
4.000
6.000
8.000
10.000
12.000
14.000
16.000
18.000
20.000
MEDIOS ELECTRÓNICOS
OTROS MOTIVOS
• Fuente:
SFC - Sistema FED (Flujo electrónico documental).
• El dato para 2007 corresponde al acumulado al primer trimestre.
• Medios electrónicos incluye: ATM, Internet, POS és de datáfono, débito a cuenta sin autorización de titular, falla
en
red de oficina, reclamo por audiorespuesta, reclamo por internet y retiro en
cajero
4
Antecedente -- Quejas
Quejas
Antecedente
A U D I OR ES P U ES TA
( 3 6 ) 1%
P OS ( 15 7 ) 5 %
I N TER N ET ( 4 5 7 ) 14 %
A C H 0 %
D ÉB I TO A U TOM ÁTI C O
( 5 ) 0 %
OFI C I N A S ( 3 1) 1%
R eclamo s po r
o peracio nes
electró nicas:
año 2006
A TM ( 2 , 4 7 5 ) 7 9 %
5
2. Sistema de Administracióón de Riesgos
n de Riesgos
2. Sistema de Administraci
Operativos (SARO)
Operativos (SARO)
Riesgo Operativo
Es la posibilidad de incurrir en pérdidas por deficiencias,
fallas o inadecuaciones en el recurso humano, los
procesos, la tecnología, la infraestructura o por la
ocurrencia de acontecimientos externos.
Esta definición incluye el riesgo legal y reputacional
asociados al los factores de riesgo operativo.
6
Factores
Factores
Clasificacióón de Eventos
n de Eventos
Clasificaci
• Recurso humano
• Procesos
• Tecnología
• Infraestructura
• Externos
• Fraude interno
• Fraude externo
• Relaciones laborales
• Clientes
• Daños de activos
físicos
• Fallas tecnológicas
• Ejecución y Admon.
de procesos
7
Etapas del SARO
Etapas del SARO
• Alistamiento y preparación: estructura, políticas,
objetivos, alineación con planes estratégicos.
Identificación R.O.: todos los procesos.
•
• Medición: cualitativa/cuantitativa. Perfil de riesgo
Inherente
• Control: Planes de acción y Adm. continuidad del
negocio.
• Monitoreo: evaluar efectividad de los controles y
seguimiento a niveles de riesgo residual.
8
Elementos del SARO
Elementos del SARO
• Políticas, objetivos: cultura y compromiso.
• Procedimientos: operación de SARO.
• Documentación: soporte a la gestión.
• Estructura organizacional:
– Junta Directiva
– Representante legal
– Unidad de Riesgo Operativo
–– Funcionarios
Funcionarios
9
Elementos del SARO
Elementos del SARO
• Registro de eventos: todos.
• Órganos de control: evaluación del SARO.
• Plataforma tecnológica: sistemas necesarios.
• Divulgación de la información: revelación de la
gestión del RO.
• Capacitación: periódica para todos los
funcionarios.
10
3. Requerimientos del proyecto de Norma
3. Requerimientos del proyecto de Norma
Consideraciones
–– Consideraciones
–– ÁÁmbito de aplicaci
Estructura del proyecto
–– Estructura del proyecto
mbito de aplicacióón n
11
Consideraciones
Consideraciones
Medidas tendientes a:
• Actualizar la normatividad vigente.
•• Mitigar los riesgos
Mitigar los riesgos asociados a los medios y
canales de distribución de productos y servicios.
• Mejorar el servicio en la atención al cliente.
• Proteger al consumidor financiero.
• Incrementar la confianza en el sector financiero.
12
ÁÁmbitombito de aplicaci
de aplicacióónn
Las instrucciones de que trata el presente numeral deberán ser
adoptadas por todas las entidades sometidas a la inspección y
vigilancia de la Superintendencia Financiera de Colombia
(SFC), con excepción de las siguientes entidades:
–Fondo de Garantías de Instituciones Financieras “Fogafin”,
–Fondo de Garantías de Entidades Cooperativas “Fogacoop”
–Fondo Nacional de Garantías S.A. “F.N.G. S.A.”
–Fondo Financiero de Proyectos de Desarrollo “Fonade”
–Los Almacenes Generales de Depósito
–Los Fondos de Garantía que se constituyan en el mercado público de valores
–Los Fondos Mutuos de Inversión
–Los Fondos Ganaderos
–Las Sociedades Calificadoras de Valores y/o Riesgo
–Las Oficinas de Representación de Instituciones Financieras y de Reaseguros del Exterior
–Los Corredores de Seguros y de Reaseguros
–Los Comisionistas Independientes de Valores
–Las Sociedades Comisionistas de Bolsas Agropecuarias y los Organismos de Autorregulación
–las Entidades Administradoras del Régimen de Prima Media con prestación definida, excepto
aquellas que se encuentran autorizadas por la ley para recibir nuevos afiliados
13
Estructura del Proyecto
Estructura del Proyecto
• Definiciones.
• Obligaciones Generales:
– Seguridad y Calidad.
– Documentación.
– Divulgación.
• Obligaciones adicionales por tipo de canal.
• Reglas de actualización del software.
• Obligaciones por tipo de medio – Tarjetas.
• Análisis de Vulnerabilidades.
14
Estructura del Proyecto -- Definiciones
Estructura del Proyecto
Definiciones
Criterios de Seguridad de la información
cuya divulgación no está autorizada.
a) Confidencialidad: Hace referencia a la protección de información
b) Integridad: La información debe ser precisa, coherente y completa
c) Disponibilidad: La información debe estar en el momento y en el
desde su creación hasta su destrucción.
formato que se requiera ahora y en el futuro, al igual que los recursos
necesarios para su uso.
Criterios de Calidad de la información
oportuna, correcta y consistente.
a) Efectividad: La información relevante debe ser pertinente y su entrega
b) Eficiencia: El procesamiento y suministro de información debe hacerse
c) Confiabilidad: La información debe ser la apropiada para la
utilizando de la mejor manera posible los recursos.
administración de la entidad y el cumplimiento de sus obligaciones.
15
Estructura del Proyecto -- Definiciones
Estructura del Proyecto
Definiciones
Cifrado fuerte
Técnicas de cifrado, con algoritmos de robustez reconocidos
internacionalmente, que proporcionan una adecuada relación
entre el nivel de procesamiento y la seguridad requerida por la
información.
Operación
El conjunto de acciones que permiten el intercambio de datos a
través de los canales de distribución, como por ejemplo, una
consulta de saldo, cambio de clave, actualización de datos
básicos del cliente, etc. y que no implican movimiento de dinero.
Las acciones que permiten movimiento de dinero (transacciones)
tales como: retiros, transferencias, depósitos, pagos, etc.
16
Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:
Seguridad y Calidad (1)(1)
• Gestionar la seguridad de la información Podrán tener como
referencia los estándares ISO 17799 y 27001
• La información confidencial enviada a los clientes por e-mail cifrada
y libre de software malicioso
• Evitar el uso de claves compartidas, genéricas o para grupos. La
identificación y autenticación en los dispositivos y sistemas de cómputo
deberá ser única y personalizada.
• Brindar la posibilidad de identificación con otros mecanismos de
autenticación.
• Permitir a los clientes personalizar las condiciones bajo las cuales se les
prestará servicios.
17
Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:
Seguridad y Calidad (2)(2)
• Ofrecer la posibilidad de manejar una contraseña diferente por canal.
• Brindar la posibilidad inmediata de cambiar la clave de la tarjeta
débito en el momento que el cliente lo considere necesario.
• Elaborar el perfil de las costumbres transaccionales de sus clientes.
• Segregación de funciones del personal que administre, opere,
mantenga y, en general, tenga la posibilidad de acceder a los
dispositivos y sistemas usados en los distintos canales.
• Sincronizar los relojes (SIC).
• Considerar la atención de personas que pudieran requerir una
atención especial, con el fin de que no se vea menoscabada la
seguridad de su información.
18
Obligaciones Generales: Seguridad y Calidad
Obligaciones Generales:
Seguridad y Calidad(3)(3)
• Tercerización – Outsourcing:
– Criterios de selección
– Plan de contingencia del servicio convenido
– Contratos niveles de servicio, acuerdos de confidencialidad,
propiedad de la información, normas de seguridad informática y
física , procedimientos para cuando hay evidencia de alteración o
manipulación de equipos o información, y para la entrega y
destrucción de la información manejada.
– Implementar mecanismos de cifrado fuerte para el envío y
terceros
información confidencial con
recepción de
contratados.
los
19
Obligaciones Generales: Documentaci
Obligaciones Generales:
Documentacióónn
• Dejar constancia de las operaciones realizadas.
• Mantener estadísticas actualizadas de la prestación de
servicios a través de cada uno de los canales.
• Conservar to
Comentarios de: Requerimientos de seguridad y calidad en el manejo de información a través de canales de distribución de productos y Servicios Financieros (0)
No hay comentarios